安全公告:simple_tag 不会自动转义
根据我们的文档,simple_tag装饰器用于创建自定义模板标签,它不会对其内容(直至 Django 1.8 版本)进行自动转义。然而,团队注意到这使得在使用simple_tag时很容易引入 XSS 漏洞,并且我们已经发现了现实中存在漏洞代码的例子。
因此,Django 1.9 将更改此行为以提高安全性。同时,鼓励所有用户检查其自定义模板标签中simple_tag的所有用法,并根据1.9 版本说明中的说明确保它们没有漏洞。
返回顶部根据我们的文档,simple_tag装饰器用于创建自定义模板标签,它不会对其内容(直至 Django 1.8 版本)进行自动转义。然而,团队注意到这使得在使用simple_tag时很容易引入 XSS 漏洞,并且我们已经发现了现实中存在漏洞代码的例子。
因此,Django 1.9 将更改此行为以提高安全性。同时,鼓励所有用户检查其自定义模板标签中simple_tag的所有用法,并根据1.9 版本说明中的说明确保它们没有漏洞。
返回顶部